分类: 恶意软件

YouTube上的 Valorant 骗局:RedLine 感染

Hackernews 编译,转载请注明出处: 韩国安全分析人士在YouTube上发现了一场恶意软件传播活动,攻击者使用Valorant当做诱饵,诱骗玩家下载RedLine——一个强大的信息窃取工具。 这种类型的滥用是相当普遍的,因为黑客发现绕过YouTube的新内容提交审核,或者在被举报和禁号时创建新账户都是很容易的。 ASEC发现的这一活动针对的是Valorant游戏社区,这是一款免费的Windows第一人称射击游戏,在视频描述中提供了一个自动瞄准机器人的下载链接。 假自动瞄准机器人(ASEC)宣传视频 据称,这些骗术是安装在游戏中的外挂,以帮助玩家快速精准瞄准敌人,不用任何技巧就能爆头。 自动瞄准机器人在 Valorant 等热门多人游戏中非常受欢迎,因为它们可以自动瞄准,玩家轻松排名进步。 植入 Redline 试图下载视频描述中的文件的玩家将被带到anonfiles页面,在那里他们会获取一个RAR存档,其中包含一个名为“Cheat installer.exe”的可执行文件。 实际上,这个文件是RedLine 信息窃取程序的副本,RedLine stealer 是最广泛使用的窃取密码的恶意软件感染之一,它从受感染的系统窃取以下数据: 基本信息:计算机名、用户名、IP地址、Windows版本、系统信息(CPU、GPU、RAM等)、进程列表 Web浏览器:密码、信用卡号码、自动填充表单、书签和Chrome、Firefox中的cookie 加密货币钱包:Armory、AtomicWallet、bitcoinore、byteccoin、DashCore、Electrum、Ethereum、LitecoinCore、Monero、Exodus、Zcash和Jaxx VPN客户端:ProtonVPN、OpenVPN、NordVPN 其他:FileZilla(主机地址、端口号、用户名和密码),Minecraft(帐户凭据,级别,排名),Steam(客户端会话),Discord(令牌信息) 在收集了这些信息之后,RedLine巧妙地将其打包到一个名为“().zip”的ZIP压缩包中,并通过WebHook API POST请求将其导出文件到一个Discord服务器。 不要相信YouTube视频中的链接 除此之外,电子游戏中的作弊行为会破坏游戏的乐趣,另外,它总归是一个潜在的严重的安全风险。 这些作弊工具都不是由可信的实体编写的,也没有数字签名(所以反病毒警告肯定会被忽略),而且很多确实是恶意软件。 ASEC的报告包含了最近的一个例子,但这只是恶意下载链接的海洋中的一小部分,它们藏在在YouTube宣传各种各样的免费软件的视频中。 宣传这些工具的视频通常是从其他地方偷来的,并在新创建的渠道上恶意转发,充当诱饵。 即使这些视频下面的评论称赞上传者,并声称该工具如宣称的那样有效,它们也不应该被信任,因为这些很容易被伪造。       消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文  

英伟达泄露数据正被用来制作伪装成驱动的病毒

由于自称为 Lapsus$ 的组织泄露了与英伟达黑客攻击相关的数据,被盗的代码签名证书被用于远程访问未受保护的 PC,其他情况下则被用来部署恶意软件。 根据 Techpowerup 的报道,这些证书被用于“开发一种新型恶意软件”,BleepingComputer 将 Cobalt Strike 信标、Mimikatz、后门和远程访问木马 (RAT) 列为通过这种方式部署的一些恶意软件。 代码签名证书是开发人员在将可执行文件和驱动程序发布给公众之前用来签署它们的东西。对于 Windows 和其他系统用户来说,这是一种更安全的方式来验证原始文件的所有权。微软要求对内核模式驱动程序进行代码签名,否则操作系统将拒绝打开文件。 如果某些流氓使用来自英伟达的正版代码签署恶意软件,用户的 PC 可能无法在恶意软件解包,对系统造成严重破坏之前拦截它。 现在,这些代码与 Quasar RAT 一起被用于签署 Windows 驱动程序的证书。VirusTotal 目前显示“46 家安全供应商和 1 个沙箱将此文件标记为恶意文件。” 由于安全研究人员 Kevin Beaumont 和 Will Dormann 的热心报道,BleepingComputer 注意到以下序列号需要注意: · 43BB437D609866286DD839E1D00309F5 · 14781bc862e8dc503a559346f5dcc518 这两个代码实际上都是过期的英伟达签名,但您的操作系统仍会让它们以同样的方式通过。   (消息及封面来源:cnBeta)

TerraMaster 操作系统漏洞可能使 NAS 设备遭到远程黑客攻击

Hackernews 编译,转载请注明出处: 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节,这些设备可以链接到未经身份验证的远程代码执行,且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分享给 The Hacker News 的一份声明中表示,这些问题存在于 TerraMaster 操作系统(TOS)中,“只要知道受害者的 IP 地址,就能让未经认证的攻击者进入受害者的保险箱。” TOS 是为 TNAS 设备设计的操作系统,使用户能够管理存储、安装应用程序和备份数据。经过严谨的披露,上周3月1日发布的 TOS 版本4.2.30中,这些漏洞被修补。 其中一个漏洞被追踪为 CVE-2022-24990,与一个名为“ webNasIPS”的组件中的信息泄露案例有关,导致 TOS 固件版本、默认网关接口的 IP 和 MAC 地址以及管理员密码的散列暴露。 另一方面,第二个漏洞涉与一个名为“ createRaid”(CVE-2022-24989)的 PHP 模块中的命令注入漏洞有关,导致出现这样一种情况,即这两个漏洞可以同时出现,以提交一个特别制作的命令来实现远程代码执行。 “总而言之,这是一个非常有趣的任务,”Yibelo说。“我们使用了信息泄漏的多个组件,另一个是机器时间的信息泄漏,并将其与经过身份验证的操作系统命令注入链接起来,以根用户身份实现未经身份验证的远程代码执行。 TerraMaster NAS 设备也受到 Deadbolt 勒索软件的攻击, 与 QNAP 和  ASUSTOR 一样也是受害者,该公司称,它解决了 TOS 版本4.2.30 中可能被黑客利用来部署 勒索软件的漏洞。 目前尚不清楚 Octagon Networks 发现的一系列漏洞和被武器化用于 Deadbolt感染的漏洞是同一种。我们已经联系 TerraMaster 进行进一步的查验,如果有进展,我们将更新相关报道。 “修正了与 Deadbolt 勒索软件攻击有关的安全漏洞,”该公司声明,并建议用户“重新安装最新版本的 TOS 系统(4.2.30或更高版本) ,以防止未加密文件被加密。     消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

NVIDIA 拒绝支付赎金后 威胁者利用代码签署恶意软件 可在 Windows 中加载

利用窃取过来的 NVIDIA 代码,威胁者利用签名证书来签署恶意软件,使其看起来值得信赖,并允许在 Windows 中加载恶意驱动程序。本周,NVIDIA 公司证实,他们遭受了一次网络攻击,使威胁者得以窃取员工的证书和专有数据。 对本次泄露事件负责的勒索集团 Lapsus$ 表示,他们已经窃取了 1TB 的数据,并在 NVIDIA 拒绝与他们谈判后开始在网上泄露这些数据。泄漏的数据包括 2 份被盗的代码签名证书,这些证书是 NVIDIA 开发人员用来签署其驱动程序和可执行文件的。 代码签名证书允许开发人员对可执行文件和驱动程序进行数字签名,以便 Windows 和终端用户能够验证文件的所有者,以及它们是否被第三方篡改过。为了提高 Windows 的安全性,微软还要求内核模式的驱动程序在操作系统加载之前必须进行代码签名。 在 Lapsus$ 泄露了英伟达的代码签名证书后,安全研究人员很快发现,这些证书被用来签署恶意软件和威胁者使用的其他工具。根据上传到 VirusTotal 恶意软件扫描服务的样本,被盗的证书被用来签署各种恶意软件和黑客工具,如 Cobalt Strike 信标、Mimikatz、后门和远程访问木马。 例如,一个威胁者用该证书签署了一个 Quasar 远程访问特洛伊木马[VirusTotal],而另一个人用该证书签署了一个 Windows 驱动程序[VirusTotal]。虽然这 2 个被盗的英伟达证书都已过期,但Windows仍然允许在操作系统中加载用这些证书签名的驱动程序。   (消息及封面来源:cnBeta)

TrickBot 团伙转移阵地,Emotet 成新选择

Hackernews 编译,转载请注明出处: TrickBot 是一个臭名昭著的“ Windows 犯罪软件即服务”(Windows crimeware-as-a-service,简称 caa)解决方案,被各种黑客用来提供下一阶段的有效载荷,比如勒索软件。TrickBot似乎正在做出转变,自今年年初以来没有新的活动记录。 Intel 471的研究人员在与The Hacker News分享的一份报告中说,恶意软件活动的暂停“部分是由于 Trickbot 运营商的重大转变,变化包括与 Emotet 运营商的合作”。 最近一次涉及 TrickBot 的攻击发生在2021年12月28日,但与该恶意软件相关的命令与控制(C2)基础设施一直在为僵尸网络中受感染的节点提供额外的插件和网络注入。 有趣的是,TrickBot 团伙活动量的减少也伴随着与 Emotet 操作者密切的合作 ,在执法部门解决恶意软件10个月之后,Emotet 在去年年底死灰复燃。 2021年11月首次观察到的攻击包含一个感染序列,使用 TrickBot 作为下载和执行 Emotet 二进制文件的渠道,而在攻击之前,Emotet 经常被用来传递 TrickBot 的样本。 研究人员说: “很有可能,TrickBot 的运营者已经将 TrickBot 的恶意软件从他们的运营中剔除,转而使用其他平台,比如 Emotet。”“毕竟,TrickBot 是一个相对老旧的恶意软件,还没有进行过大规模的更新。” 此外,Intel 471表示,它观察到 TrickBot 在2021年11月 Emotet 回归后不久将 Qbot 安装到被破坏的系统中,这再次暗示了幕后重组正在转移到其他平台。 随着 TrickBot 在2021年越来越多地受到执法者的关注,它背后的攻击者正在积极地试图改变战术和更新他们的防御措施。 根据 Advanced Intelligence (AdvIntel)上周发布的另一份报告,Conti 勒索软件团伙据信已经人才并购了 TrickBot 的几名精英开发者,让他们放弃这种恶意软件,转而使用BazarBackdoor 等增强型工具。 研究人员指出: “也许研究员对 TrickBot 的不必要的关注和更新、改进后的恶意软件平台的可用性使得 TrickBot 的操作者放弃了它。”“我们怀疑恶意软件控制基础设施(C2)仍在维护,因为剩下的机器人仍然有一些经济价值。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门

Hackernews 编译,转载请注明出处: 一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称,这种名为 FritzFrog 的“分散僵尸网络攻击任何暴露 SSH 服务器的设备——云实例、数据中心服务器、路由器等——并能够在受感染的节点上运行任何恶意有效载荷。” 2021年12月初开始的新一轮攻击,在一个月的时间内加快了速度,感染率增长了10倍,而在2022年1月达到高峰,每天发生500起感染事件。这家网络安全公司表示,他们在一家欧洲电视频道网络、一家俄罗斯医疗设备制造商和东亚多所大学中发现了受感染的设备。 FritzFrog 在2020年8月由 Guardicore 首次记录,详细说明了僵尸网络自20年1月以来攻击并感染了欧洲和美国的500多台服务器的能力。另一方面,新感染病例大量集中在中国。 安全研究员 Ophir Harpaz 在2020年观察到: “ Fritzfrog 依靠在网络上共享文件的能力,不仅可以感染新的机器,还可以运行恶意的有效负载,比如 Monero crypto miner。” 僵尸网络P2P体系结构使其具有适应性,因为分布式网络中的每台受损机器都可以充当命令控制(C2)服务器,而不是单一的集中式主机。更重要的是,僵尸网络的再次出现伴随着其新功能的增加,包括使用代理网络和瞄准 WordPress 服务器。 感染链通过 SSH 传播,植入一个恶意软件有效载荷,然后执行从 c2服务器接收到的指令,运行额外的恶意软件二进制程序,收集系统信息和文件,然后再将它们转移回服务器。 值得注意的是,FritzFrog所使用的 P2P 协议是完全专有的。虽然早期版本的恶意软件进程伪装成“ ifconfig”和“ nginx”,但最近的变体试图用“ apache2”和“ php-fpm”来隐藏它们的活动。 这款恶意软件还包含了其他新特性,包括使用安全复制协议(SCP)将自身复制到远程服务器,使用 Tor 代理链接来掩护输出的 SSH 连接,跟踪 WordPress 服务器进行后续攻击的基础设施,以及避免感染 Raspberry Pi 设备等低端系统的阻塞列表机制。 “封锁名单中的一个 IP 来自俄罗斯。它有多个开放端口和一长串未打补丁的漏洞,所以它可能是一个蜜罐,”研究人员说。“此外,第二个入口指向一个开源的僵尸网络漏洞。这两个入口表明,操作人员试图逃避侦查和分析。” 包含 SCP 特性也可能为恶意软件的起源提供了第一条线索。Akamai 指出,这个用 Go 编写的库已经被中国上海的一个用户分享到了 GitHub 上。 第二条将恶意软件与中国联系起来的线索是另一起事件,即用于密码挖掘的一个新钱包地址也被用作Mozi僵尸网络攻击的一部分,其操作者于去年9月在中国被捕。 研究人员得出结论: “这些证据虽不确凿,但让我们相信,可能存在与在中国黑客或伪装成中国人的黑客之间的联系。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

恶意软件开发者主动公开 Maze/Egregor/Sekhmet 解密密钥

昨晚,据称是恶意软件开发者在国外 BleepingComputer 论坛上发帖,公开了 Maze、Egregor 和 Sekhmet 勒索软件操作的主解密密钥。经安全公司 Emsisoft 确认这些解密密钥是合法的,该公司勒索软件专家和威胁分析师 Brett Callow 表示解密密钥的发布是高压政策下让网络犯罪分子已经感到担忧。 Maze 勒索软件于 2019 年 5 月开始运作,并迅速成名,因为他们负责使用现在许多勒索软件运作所使用的数据盗窃和双重勒索战术。在 Maze 于 2020 年 10 月宣布关闭后,他们在 9 月重新命名为 Egregor,后来在成员在乌克兰被捕后,他们消失了。Sekhmet行动在某种程度上是一个例外,因为它在2020年3月启动,而Maze仍在活动。 在 14 个月之后,上述三款勒索软件的解密密钥由一名网名为“Topleak”的用户泄露,他自称是所有三款勒索软件的开发者。 发帖人说,这是一次有计划的泄漏,与最近的执法行动没有关系,这些行动导致服务器被查封,赎金软件的附属公司被逮捕。 “Topleak”表示:“公开解密密钥是因为引起太多的线索,而且大部分都是假的,所以有必要强调这是一次有计划的泄漏,与最近的逮捕和取缔行动没有任何联系”。他们进一步表示,他们的团队成员都不会再回到勒索软件领域,而且他们销毁了勒索软件的所有源代码。   (消息及封面来源:cnBeta)

巴勒斯坦黑客在近期攻击中植入新的 NimbleMamba

Hackernews 编译,转载请注明出处: 一个APT攻击黑客组织可能与巴勒斯坦结盟,不怀好意,利用以前没有记录的名为NimbleMamba的植入物,已经开始了一项新的攻击。 企业安全公司 Proofpoint 在一份报告中说,这些入侵利用了一个复杂的攻击链,目标是中东政府、外交政策智囊团和一家国有航空公司。该报告将隐蔽攻击归咎于一个名为 Molerats (又名 TA402)的威胁攻击者。  该APT 组织不断更新他们的恶意软件植入和传播方式,因而臭名昭著。最近它似乎与针对巴勒斯坦和土耳其的人权活动家和记者的间谍攻击有一定联系,在2021年6月曝光的一次攻击中部署了一个叫做  LastConn的后门。 攻击并未停止,背后的攻击者们积极重组武器库,开发了NimbleMamba,这个产品被设计用来取代 LastConn,而LastConn被认为是另一个叫做SharpStage的后门的升级版本,该组织在2020年12月的攻击中使用了这个后门。 “ NimbleMamba 使用护栏来确保所有被感染的受害者都在TA402的目标区域内,”研究人员说,并补充道,这个恶意软件“使用 Dropbox API 来进行命令和控制以及渗透”,表明它被用于“高度针对性的情报收集活动” 另外还使用了一个名为 BrittleBush 的木马,它与远程服务器建立通信,检索 base64编码的命令,以便在受感染的机器上执行。此外,据说这些袭击与上述针对巴勒斯坦和土耳其的恶意活动是同时发生的。 感染序列反映了攻击者用来破坏其目标用了完全相同的技术。鱼叉式网络钓鱼邮件是起点,包含地理链接,指向恶意软件的有效载荷,但只有在收件人在目标区域之一的情况下才可行。如果目标位于攻击半径之外,链接会将用户重定向到一个良性的新闻网站,比如 Emarat Al Youm。 然而,最近在2021年12月和2022年1月的攻击中,攻击者使用了 Dropbox 的网址和攻击者控制的 WordPress 网站来传输包含 NimbleMamba 和 BrittleBush 的恶意 RAR 文件。 这一进展是对手使用云服务(如 Dropbox)发动攻击的最新例证,更不用说那些狡猾的攻击者能够多迅速地对公开披露的入侵方法做出反应,从而创造出一些强有力的、有效的方法,可以突破安全和检测层。 研究人员总结说: “ ta402仍然是一个效率高的攻击者,它通过针对中东的高度有针对性的行动表明了自己的持久性。”“(这两次)攻击表明,Molerats仍然有能力根据情报目标修改攻击链。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

去年针对 Linux 发行版本的恶意软件数量同比增加 35%

根据 CrowdStrike 的威胁遥测数据,在 2021 年针对 Linux 发行版本(被物联网设备广泛部署)的恶意软件数量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 这前三个恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。 与 2020 年相比,Mozi 在 2021 年的野外样本数量大幅增加了 10 倍。这些恶意软件家族的主要目的是破坏脆弱的互联网连接设备,将它们聚集成僵尸网络,并利用它们来进行分布式拒绝服务(DDoS)攻击。 当今大多数的云基础设施和网络服务器都运行 Linux,但它也为移动和物联网设备提供动力。它之所以受欢迎,是因为它提供了可扩展性、安全功能和广泛的发行版,以支持多种硬件设计和在任何硬件要求上的巨大性能。 随着各种 Linux 构建和分布在云基础设施、移动和物联网的核心,它为威胁者提供了一个巨大的机会。例如,无论是使用硬编码凭证、开放端口还是未修补的漏洞,运行Linux的物联网设备对威胁者来说都是一个低风险的果实–它们的大规模破坏会威胁到关键互联网服务的完整性。预计到2025年底,将有超过300亿台物联网设备连接到互联网,为威胁和网络犯罪分子创造一个潜在的巨大攻击面,以创建大规模的僵尸网络。 僵尸网络是一个连接到远程指挥和控制(C2)中心的受损设备网络。它在更大的网络中发挥着小齿轮的作用,并能感染其他设备。僵尸网络经常被用于DDoS攻击,向目标发送垃圾邮件,获得远程控制,并进行加密等CPU密集型活动。DDoS攻击使用多个连接互联网的设备来访问一个特定的服务或网关,通过消耗整个带宽来阻止合法流量的通过,导致其崩溃。 ● XorDDoS XorDDoS是一个为多种Linux架构编译的Linux木马,范围从ARM到x86和x64。它的名字来自于在恶意软件和网络通信中使用XOR加密到C2基础设施。当针对物联网设备时,该木马已知会使用SSH暴力攻击来获得对脆弱设备的远程控制。 在 Linux 机器上,XorDDoS 的一些变种显示,其操作者扫描和搜索Docker服务器,并打开2375端口。这个端口提供了一个未加密的Docker套接字和对主机的远程root无密码访问,攻击者可以滥用它来获得对机器的root访问。 ● Mozi Mozi 是一个点对点(P2P)僵尸网络,利用分布式哈希表(DHT)系统,实施自己的扩展DHT。DHT提供的分布式和去中心化的查找机制使Mozi能够将C2通信隐藏在大量合法的DHT流量后面。Mozi通过强加SSH和Telnet端口来感染系统。然后它封锁这些端口,以便不被其他恶意行为者或恶意软件覆盖。 ● Mirai Mirai 恶意软件在过去几年中声名鹊起,特别是在其开发者公布了 Mirai 的源代码之后。与Mozi类似,Mirai滥用弱协议和弱密码,如Telnet,利用暴力攻击入侵设备。 自从Mirai的源代码公开后,出现了多个Mirai变种,这个Linux木马可以被认为是当今许多Linux DDoS恶意软件的共同祖先。虽然大多数变种在现有的Mirai功能上进行了补充,或实现了不同的通信协议,但在其核心部分,它们共享相同的Mirai DNA。   (消息及封面来源:cnBeta)

微软警告称乌克兰计算机网络遭到具有潜在破坏性的网络攻击

微软周六晚间警告说,它在乌克兰的几十个政府和私人计算机网络中检测到一种极具破坏性的恶意软件,似乎在等待着一种未知行为的触发。该公司在一篇博文中说,周四,大约在乌克兰政府机构发现其网站被破坏的同一时间,监视微软全球网络的调查人员发现了该代码。微软说:”这些系统横跨多个政府、非营利组织和信息技术组织,都在乌克兰。” 访问微软文档了解更多攻击细节: https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/ 这段代码似乎是在俄罗斯外交官与美国和北约就俄罗斯军队在乌克兰边境集结举行了三天会议之后,宣布谈判基本上陷入了死胡同时部署的。 乌克兰官员将其政府网站的污损归咎于白俄罗斯的一个团体,尽管他们说他们怀疑俄罗斯参与其中。但是,早期的攻击归因经常是错误的,而且目前还不清楚污损是否与微软所说的检测到的更具破坏性的代码有关。 微软表示,它还不能确定入侵背后的团体,但它似乎不是其调查人员以前见过的攻击者。根据该公司调查人员的描述,这段代码看起来像勒索软件–它冻结了所有的计算机功能和数据,并要求以付款作为回报。但没有接受金钱的基础设施,导致调查人员得出结论,其目的是造成最大的损害,而不是获取现金。 有可能的是,这种破坏性的软件并没有传播得太广,微软的披露将使这种攻击更难转移。但也有可能,攻击者现在会推出恶意软件,并试图尽可能多地破坏计算机和网络。乌克兰方面表示,对于俄罗斯黑客而言,乌克兰经常是网络武器的试验场。 在2014年的一次总统选举中,乌克兰中央选举委员会遭到攻击,这次攻击被认为是俄罗斯方面试图改变选举结果,但没有成功。美国政府方面后来发现,这种攻击还渗透到了美国民主党全国委员会的服务器。2015年,对乌克兰电网的两次重大攻击中的第一次,使该国不同地区的灯光关闭数小时,包括首都基辅。 而在2017年,乌克兰的企业和政府机构受到了名为NotPetya的破坏性软件的攻击,该软件利用了在该国广泛使用的一种报税软件的漏洞。这次攻击关闭了乌克兰的主要经济活动,并打击了联邦快递和马士基航运公司;美国情报官员后来追踪到它是俄罗斯人所为,且那一次攻击方式至少在其整体设计上与微软周六警告的有一些相似之处。新的攻击会将硬盘擦除并彻底摧毁文件。一些国防专家说,这种攻击可能是俄罗斯地面入侵的前奏。   (消息及封面来源:cnBeta)